Zum Hauptinhalt springen
WebID
DeutschEnglishEspañol

EU AI Act

Wissenswertes rund um die EU-Verordnung zum Einsatz von künstlicher Intelligenz (KI/AI)

Mit dem EU AI Act wurde das weltweit erste umfassende Gesetz zur Regulierung des Einsatzes von Künstlicher Intelligenz (KI) verabschiedet, das darauf abzielt, Vertrauen in KI-Lösungen zu schaffen und dabei gleichzeitig Sicherheit, Grundrechte und europäische Werte zu gewährleisten.
Dieses 2025 eingeführte Gesetz definiert hohe Anforderungen an die KI-basierte Umsetzung kritischer Infrastrukturen, legt Transparenzpflichten für KI-generierte Inhalte fest und fördert gleichzeitig Innovation durch Freiräume für Anwendungsfälle, die potenziell geringere Risiken darstellen.

Kernaspekte des EU AI Act

Der EU AI Act regelt, welche KI-Systeme in der Europäischen Union erlaubt und welche verboten sind. Die Verordnung stellt für alle Mitgliedsstaaten einheitliche Regeln für den Verkauf und die Verwendung von KI-Systemen in der EU auf.

EU AI Act definiert eine risikobasierte Klassifizierung

Mit dem EU AI Act wird, neben den für alle Branchen verbindlichen Vorgaben für die Verwendung künstlicher Intelligenz, das Risiko konkreter Anwendungsfälle in den Vordergrund gestellt. KI-Systeme werden entsprechend nach ihrem potenziellen Risiko für Gesundheit, Sicherheit und Grundrechte in einem vierstufigen Modell klassifiziert:

  1. Inakzeptables Risiko
    Verboten ist der Einsatz von KI-basierten Lösungen, die menschliches Verhalten manipulieren oder Social Scoring einsetzen, beispielsweise Systeme zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen.
  2. Hochrisiko-KI
    Systeme, die in kritischen Bereichen Anwendung finden und die Gefahr besonderer Beeinträchtigungen von Grundrechten verursachen könnten, müssen strenge Vorgaben hinsichtlich Datenqualität, Transparenz, Infrastruktur, humanbasierter Aufsicht und Konformitätsbewertung erfüllen. Das gilt ebenfalls beispielsweise für KI-Lösungen, die im Gesundheitswesen, Bildungsbereich, Personalmanagement, bei der Strafverfolgung und Grenzkontrollen sowie für den Zugang zu Sozialleistungen.
  3. Transparenzpflichten:
    KI-Systeme die besonderen Transparenzverpflichtungen unterliegen, weil sie zur Manipulation von Menschen genutzt werden könnten (etwa bei Chatbots oder Systemen, die Bilder und/oder Videos künstlich generieren), wurden in die dritte Risikoklassifizierungsstufe eingeordnet. Solche KI-generierten Inhalte müssen immer klar als solche gekennzeichnet sein, Nutzende müssen also erkennen können, dass sie mit einer Maschine interagieren oder einen maschinell erstellten Inhalt sehen.
  4. Allgemeine KI-Modelle (GPAI):
    Unternehmen, die Systeme mit minimalem Risiko bereitstellen oder einsetzen, für die keine besonderen Anforderungen bestehen, können sich freiwilligen Verhaltenskodizes anschließen. Allerdings müssen grundlegende Modelle (wie ChatGpT) Transparenz über Trainingsdaten und Urheberrechte gewährleisten.

Wer muss sich an die Vorgaben des EU AI Act halten?

Der EU AI Act differenziert zwischen Anbietern/Entwicklern („Provider“), Nutzenden im eigenen Geschäftsbetrieb („Deployer“) sowie Distributoren von Hochrisiko Systemen. Regulierte Unternehmen wie etwa Banken, Zahlungsdienstleister, FinTechs oder Krypto Player können je nach Setup mehrere Rollen einnehmen, also beispielsweise Provider für in house entwickelte Modelle und gleichzeitig Deployer für eingekaufte SaaS Lösungen sein.
Auch Anbieter mit Sitz außerhalb der EU müssen sich an den AI Act halten, sofern sie ihre KI-Lösung im EU Markt bereitstellen oder dieses auf Personen in der EU angewendet wird.
Der Durchsetzungsanspruch wird unterstrichen durch Androhung hoher Bußgelder (von bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes), die bei Nicht-Einhaltung der Vorgaben anfallen können.

Hochrisiko KI in Compliance & AML

Für KI-Systeme, die der GwG-/AML Verordnung unterliegen, sieht der EU AI Act unter anderem strenge Vorgaben für biometrische Identifikationsverfahren vor, macht aber zugleich klar, dass reine biometrische Verifikationen nicht automatisch wie flächendeckende Identifizierungen behandelt werden. Viele AML /CFT Anwendungen, etwa Transaktionsmonitoring, Netzwerk Analysen, Fraud Scoring und andere, gelten als Hochrisiko Systeme und müssen entsprechend klassifiziert und dokumentiert werden.
Gleichzeitig wurden mit dem AI Act punktuelle Ausnahmen definiert. So werden Lösungen zur AI gestützten Betrugs und Geldwäscheprävention ausdrücklich als legitimer Zweck anerkannt, weshalb diese Systeme nicht unter die generellen Verbote fallen. Allerdings muss auch hier gewährleistet sein, dass der Schutz der Grundrechte, eine hohe Datenqualität sowie menschliche Kontrollen berüchtigt werden.

Zentrale EU-AI-Act-Anforderungen für verpflichtete Unternehmen

KI-basierte Hochrisiko‑Systeme müssen ein formales Risiko‑ und Qualitätsmanagement durchlaufen, inklusive Datenqualitäts‑Checks, Modelltests, Logging, technischer Robustheit und Cybersicherheit. Anbieter haben zusätzlich Konformitätsbewertungen durchzuführen, eine EU‑Konformitätserklärung zu erstellen und eine CE‑Kennzeichnung anzubringen.​

Für Unternehmen im Finanzsektor kommen zusätzliche Pflichten hinzu, etwa zur zweckkonformen Nutzung, Schulung der Mitarbeitenden, Überwachung im laufenden Betrieb sowie die Meldung schwerwiegender Vorfälle. Bestehende Governance‑Regeln aus dem Finanzaufsichtsrecht werden dabei teilweise berücksichtigt, ersetzen die AI‑Act‑Pflichten jedoch nicht vollständig.​

Schnittstellen zu AML/KYC & Governance

Verpflichtete Unternehmen, die AI-basierte Systeme beispielsweise fürs Transaktionsmonitoring, Screening oder fürs KYC‑Onboarding einsetzen, müssen gemäß EU AI Act nicht bloß aufsichtsrechtliche Erwartungen an die Wirksamkeit und Nachvollziehbarkeit erfüllen, sondern auch AI‑Act‑Pflichten wie Daten‑Governance, Dokumentation und menschliche Aufsicht systematisch verankern. Das betrifft beispielsweise Modelländerungen, Schwellenwertanpassungen, neue Datenquellen sowie die Behandlung von False Positives und Bias‑Risiken.​

AI & Model Risk Governance Framework

Finanzinstitute etablieren idealerweise ein AI & Model Risk Governance Framework (Rahmenwerk für die Governance von KI- und Modellrisiken), also ein strukturiertes System aus Richtlinien, Prozessen, Verantwortlichkeiten und Kontrollen, das dazu beitragen kann, die Risiken im Zusammenhang mit dem Einsatz von Künstlicher Intelligenz und anderen mathematischen Modellen zu identifizieren, zu bewerten, zu minimieren und kontinuierlich zu überwachen. Mögliche Schritte könnten folgendermaßen aussehen:

  • Erstellung eines AI‑Use‑Case‑Inventories sowie eines Hochrisiko‑Use‑Cases (Scoring, Monitoring, Biometrics).​
  • Durchführung einer Schnittstellenanalyse zwischen AI‑Act‑Pflichten und bestehenden AML‑, MaRisk‑ und DSGVO‑Kontrollen zur Identifikation möglicher Lücken.​
  • Schaffung angepasster Governance‑Strukturen (Rollen, Freigabeprozesse, Monitoring, Schulungen), und Definition einer Roadmap, die das Wirksamwerden der wichtigsten Pflichten (ab 2026) beinhaltet.

Wiederverwendbare digitale Identitäten im Aufwärtstrend

Dieses White Paper analysiert den globalen Trend wiederverwendbarer digitaler Identitäten, beleuchtet ihre Entwicklung, Vorteile und Herausforderungen, und untersucht ihre Rolle in der Zukunft des digitalen Identitätsmanagements.
Jetzt anfordern
WebID Whitepaper Wiederverwendbare digitale Identitäten im Aufwärtstrend